Compartilhar via


Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel

O hub de Conteúdo do Microsoft Sentinel é seu local centralizado para descobrir e gerenciar conteúdo integrado (interno). Lá, você encontra soluções empacotadas para produtos de ponta a ponta por domínio ou setor. Você tem acesso ao grande número de contribuições autônomas hospedadas em nosso repositório do GitHub e folhas de recursos.

  • Descubra soluções e conteúdo autônomo com um conjunto consistente de recursos de filtragem com base em status, tipo de conteúdo, suporte, provedor e categoria.

  • Instale o conteúdo em seu workspace de uma só vez ou individualmente.

  • Exiba o conteúdo no modo de exibição de lista e veja rapidamente quais soluções têm atualizações. Atualize as soluções de uma só vez enquanto o conteúdo autônomo é atualizado automaticamente.

  • Gerencie uma solução para instalar seus tipos de conteúdo e obter as alterações mais recentes.

  • Configure o conteúdo autônomo para criar novos itens ativos com base no modelo mais atualizado.

Se você for um parceiro que deseja criar a própria solução, consulte o Guia de Build de Soluções do Microsoft Sentinel para a criação e publicação de soluções.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para instalar, atualizar e excluir conteúdo autônomo ou soluções no hub de conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.

Para obter mais informações sobre outras funções e permissões suportadas no Microsoft Sentinel, confira Permissões do Microsoft Sentinel.

Descobrir conteúdo

O hub de conteúdo oferece a melhor maneira de encontrar novos conteúdos ou gerenciar as soluções que você já instalou.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.

    A página Hub de conteúdo exibe uma grade ou uma lista pesquisável de soluções e conteúdo autônomo.

  2. Filtre a lista exibida, selecionando valores específicos dos filtros ou inserindo qualquer parte de um nome de conteúdo ou descrição no campo Pesquisar.

    Para obter mais informações, consulte Categorias de soluções e conteúdo pronto para uso do Microsoft Sentinel.

  3. Selecione o Modo de exibição de cartão para exibir mais informações sobre uma solução.

    Cada item do conteúdo mostra as categorias que se aplicam a ela e as soluções exibem os tipos de conteúdo incluídos. Por exemplo, na imagem a seguir, a solução Cisco Umbrella lista uma das categorias como Segurança – Segurança da nuvem e indica que ela inclui conector de dados, regras de análise, consultas de busca, guias estratégicos e muito mais.

Instalar ou atualizar conteúdo

Instale conteúdo autônomo e soluções individualmente ou todas juntas em massa. Para obter mais informações sobre operações em massa, consulte Instalar e atualizar conteúdo em massa na próxima seção.

Se uma solução implantada tiver atualizações desde a última implantação, o modo de exibição de lista mostrará Atualização na coluna de status. A solução também está incluída na contagem de Atualizações na parte superior da página.

Aqui está um exemplo mostrando a instalação de uma solução individual.

  1. No Hub de conteúdo, pesquise e selecione a solução.

  2. No painel de detalhes das soluções, no lado inferior direito, selecione Exibir detalhes.

  3. Selecione Criar ou Atualizar.

  4. Na guia Básico, insira a assinatura, o grupo de recursos e o espaço de trabalho para implantar a solução. Por exemplo:

    Captura de tela de um assistente de instalação de solução, mostrando a guia Básico.

  5. Selecione Avançar para percorrer as guias restantes para saber mais e, em alguns casos, configurar cada um dos componentes de conteúdo.

    As guias correspondem ao conteúdo oferecido pela solução. Soluções diferentes podem ter tipos diferentes de conteúdo, portanto, talvez você não veja as mesmas guias em cada solução.

    Você também pode ser solicitado a inserir credenciais em um serviço que não seja da Microsoft para que o Microsoft Sentinel possa se autenticar em seus sistemas. Por exemplo, com os guias estratégicos, talvez você queira executar ações de resposta conforme prescrito em seu sistema.

  6. Na guia Revisar + criar, aguarde a mensagem Validation Passed.

  7. Selecione Criar ou Atualizar para implantar a solução. Você também pode selecionar o link Baixar um modelo para automação para implantar a solução como código.

Instalar com dependências

Algumas soluções têm dependências para instalar, incluindo muitas soluções de domínio e soluções que usam os conectores AMA unificados para CEF, Syslogou logs personalizados.

Nesses casos, selecione Instalar com dependências para garantir que os conectores de dados necessários também estejam instalados. A partir daí, selecione uma ou mais dependências para instalá-las junto com a solução original. A solução original que você escolheu instalar é sempre selecionada por padrão.

Se uma ou mais soluções de dependência já estiverem instaladas, mas tiverem atualizações, use o botão Instalar/Atualizar para instalar e atualizar todas as soluções selecionadas em massa. Por exemplo:

Captura de tela da instalação de várias dependências de solução em massa.

Depois de instalar uma solução, cada tipo de conteúdo dentro da solução pode exigir mais etapas para configurar. Para obter mais informações, confira Habilitar itens de conteúdo em uma solução.

Instalar e atualizar conteúdo em massa

O Hub de conteúdo dá suporte ao modo de exibição de lista além do modo de exibição de cartão padrão. Selecione o modo de exibição de lista para instalar várias soluções e conteúdo autônomo de uma só vez. O conteúdo autônomo é atualizado automaticamente. Qualquer conteúdo ativo ou personalizado criado com base em soluções ou conteúdo autônomo instalado do hub de conteúdo permanece intocado.

  1. Para instalar ou atualizar itens em massa, altere para o modo de exibição de lista.

  2. Pesquise ou filtre para localizar o conteúdo que você deseja instalar ou atualizar em massa.

  3. Marque a caixa de seleção para cada solução ou conteúdo autônomo que você deseja instalar ou atualizar.

  4. Selecionar o botão Instalar/Atualizar. Captura de tela do modo de exibição de lista de soluções com várias soluções selecionadas e em andamento para instalação.

    Se uma solução ou conteúdo autônomo selecionado já estiverem instalados ou atualizados, nenhuma ação será executada nesse item. Ele não interfere na atualização e na instalação dos outros itens.

  5. Selecione Gerenciar para cada solução instalada. Os tipos de conteúdo dentro da solução podem exigir mais informações para você configurar. Para obter mais informações, confira Habilitar itens de conteúdo em uma solução.

Habilitar itens de conteúdo em uma solução

Gerencie centralmente itens de conteúdo para soluções instaladas pelo hub de conteúdo.

  1. No hub de conteúdo, selecione uma solução instalada em que a versão seja 2.0.0 ou superior.

  2. Na página de detalhes das soluções, selecione Gerenciar.

    Captura de tela do botão Gerenciar na página de detalhes da solução do hub de conteúdo da Atividade do Azure.

  3. Examine a lista de itens de conteúdo.

    Captura de tela da descrição da solução e da lista de itens de conteúdo para a solução de Atividade do Azure.

  4. Selecione um item de conteúdo para começar.

Gerenciar cada tipo de conteúdo

As seções a seguir fornecem algumas dicas sobre como trabalhar com os diferentes tipos de conteúdo à medida que você gerencia uma solução.

Conector de dados

Para conectar um conector de dados, conclua as etapas de configuração.

  1. Clique em Abrir página do conector.

  2. Conclua as etapas de configuração do conector de dados.

    Captura de tela do item de conteúdo do conector de dados para a solução Atividade do Azure em que o status é desconectado.

    Depois que você configurar o conector de dados e os logs forem detectados, o status será alterado para Conectado.

Regra de análise

Crie uma regra a partir de um modelo ou edite uma regra existente.

  1. Veja o modelo na galeria de modelos de análise.

  2. Se o modelo ainda não for usado, selecione Abrir>Criar regra e siga as etapas para habilitar a regra de análise.

    Depois de criar uma regra, o número de regras ativas criadas a partir do modelo é mostrado na coluna Conteúdo criado.

  3. Selecione o link de regras ativas para editar a regra existente. Por exemplo, o link de regra ativa na imagem a seguir está em Conteúdo criado e mostra 2 itens.

    Captura de tela do item de conteúdo da regra de análise na solução para a Atividade do Azure.

Consulta de busca

Execute a consulta de busca fornecida ou personalize-a.

  1. Para começar a pesquisar imediatamente, selecione Executar consulta na página de detalhes para obter resultados rápidos.

    Captura de tela do item de conteúdo de consulta de busca clonada na solução da Atividade do Azure.

  2. Para personalizar sua consulta de busca, selecione o link na coluna Nome do conteúdo.

    Na galeria de busca, você pode criar um clone do modelo de consulta de busca somente leitura acessando o menu de reticências. Consultas de busca criadas dessa forma são exibidas como itens na coluna de Conteúdo criado do hub de conteúdo.

Pasta de trabalho

Para personalizar uma pasta de trabalho criada a partir de um modelo, crie uma instância de uma pasta de trabalho.

  1. Selecione Exibir modelo para abrir a pasta de trabalho e ver as visualizações.

  2. Selecione Salvar para criar uma instância do modelo de pasta de trabalho.

  3. Exiba sua pasta de trabalho personalizável salva selecionando Exibir pasta de trabalho salva.

  4. No hub de conteúdo, selecione o link 1 item na coluna Criar conteúdo para gerenciar a pasta de trabalho.

    Captura de tela do item de pasta de trabalho salvo na solução na Atividade do Azure.

Analisador

Quando uma solução é instalada, todos os analisadores incluídos são adicionados como funções de espaço de trabalho no Log Analytics.

  1. Selecione Carregar o código da função para abrir o Log Analytics e visualizar ou executar o código de função.

  2. Selecione Usar no editor para abrir o Log Analytics com o nome do analisador pronto para adicionar à sua consulta personalizada.

    Captura de tela do tipo de conteúdo do analisador na solução.

Manual

Crie um guia estratégico com base em um modelo.

  1. Selecione o link Nome do conteúdo do guia estratégico.

  2. Escolha o modelo e selecione Criar guia estratégico.

  3. Depois que o guia estratégico tiver sido criado, o guia estratégico ativo será mostrado na coluna Conteúdo criado.

  4. Selecione o link de 1 item do guia estratégico ativo para gerenciar o guia estratégico.

    Captura de tela do tipo conteúdo do tipo de guia estratégico na solução.

Localizar o modelo de suporte para seu conteúdo

Cada solução e conteúdo independente explica seu modelo de suporte no painel de detalhes, na caixa Suporte, em que a Microsoft ou o nome de um parceiro está listado. Por exemplo:

Captura de tela do local onde você pode encontrar o modelo de suporte para sua solução.

Ao entrar em contato com o suporte, talvez você precise de outros detalhes sobre a sua solução, como um publicador, um provedor e valores de ID de plano. Encontre essas informações na página de detalhes na guia Informações de uso e suporte.

Captura de tela dos detalhes de uso e suporte para uma solução.

Próximas etapas

Neste documento, você aprendeu a encontrar e implantar soluções internas e conteúdo autônomo para o Microsoft Sentinel.

Muitas soluções incluem conectores de dados que você precisa configurar para poder começar a ingerir dados no Microsoft Sentinel. Cada conector de dados tem seu próprio conjunto de requisitos detalhados na página do conector de dados no Microsoft Sentinel.

Para saber mais, confira Conectar a sua fonte de dados.